HeBA isikuandmete töötlemine ja privaatsussätted
v3.0
Kinnitatud ja kehtib alates 01.10.2024.a
Käesolev dokument kirjeldab HeBA Clinic OÜ ja tema tütar- ning sidusettevõtete (edaspidi “HeBA”) isikuandmete töötlemise põhimõtteid üksikisikutele (edaspidi “Klient”) osutatavate teenuste korral.
1. Mõisted
1. Käesolevates Privaatsussätetes kasutatatakse järgmisi mõisteid:
Privaatsussätted | Käesolev “HeBA isikuandmete töötlemine ja privaatsussätted” on dokument, mis reguleerib Kliendi isikuandmete töötlemist HeBA poolt. |
HeBA platvorm | Digitaalne andmetöötluse rakendus, mille vahendusel toimub Kliendi andmete digitaalne töötlemine HeBA-s Kliendile teenuse osutamise kõigis etappides (sealhulgas, kuid mitte ainult iseteeninduse kaudu broneerimise võimaldamiseks, tervise- ja tervishoiuteenuse osutamiseks, dokumentide ja muu info vahetamiseks). |
Kaugteenus | Veebis (veebivestlus või videokõne) või telefoni teel kasutatav telemeditsiiniteenus teenuse osutamiseks. |
Tööandja | Juriidiline isik, kellega HeBA-l on sõlmitud töötervishoiuteenuse osutamise leping. |
Töötaja | Üksikisik, kes töötab juridilisest isikust Tööandja juures, kellega HeBA-l on sõlmitud töötervishoiuteenuse osutamise leping. |
Klient | Üksikisik, kes on avaldanud soovi, et HeBA temale teenust osutaks. |
Kasutaja | Töötaja või Klient või Tööandja esindaja, kes kasutab HeBA platvormi. |
Teenus | HeBA poolt Kliendile osutatavad tervishoiuteenused või terviseteenused sõltumata sellest, kas neid osutatakse vastuvõtuvisiidil või kaugteenusena. |
Tervishoiuteenus | Teenus, mida osutab arstiteaduse reegleid järgides registreeritud tervishoiutöötaja ja vastava teenuse osutamiseks tegevusluba omav isik, kui sellise registreeringu ja tegevusloa olemasolu on vastava teenuse osutamiseks nõutav. Tervishoiuteenus on tervishoiuteenuse osutaja tegevus haiguse ennetamiseks, diagnoosimiseks ja raviks, mille eesmärk on hoida Kliendi head tervist ja parandada tema elukvaliteeti (muuhulgas uuringud, analüüsid ja tervisetõendite väljastamine). |
Terviseteenus | Teenus, mida osutatakse Kliendile ning mis ei ole tervishoiuteenus. |
Broneerimine | Tegevus, mille käigus Klient avaldab soovi kasutada HeBA teenuseid Tööandja suunamisel või omal initsiatiivil. |
2. Üldpõhimõtted
- Klient on käesolevate Privaatsussätete tähenduses inimene, kellele HeBA osutab teenust (näiteks Tööandja poolt valitud töötervishoiu teenuse osutajana) või kes on ise avaldanud soovi, et HeBA talle teenust osutaks.
- HeBA tegutseb Euroopa Liidu Andmekaitse Üldmääruse (edaspidi GDPR) tähenduses Kliendi isikuandmete vastutava töötlejana ning töötleb andmeid kooskõlas GDPR-i ja Eesti vastavat tegevust reguleerivate õigusaktidega, sealhulgas isikuandmete kaitse seadus, tervishoiuteenuste korraldamise seadus, töötervishoiu ja tööohutuse seadus, nakkushaiguste ennetamise ja tõrje seadus ning võlaõigusseadus.
- Kõigi HeBA töötajate lepingud sisaldavad eraldi sätteid isikuandmete töötlemise ja säilitamise nõuete täitmise kohta.
- Kõik GDPR tähenduses HeBA-ga lepingu sõlminud volitatud töötlejad (peamiselt infotehnoloogia-alaseid ja andmemajutuse teenuseid pakkuvad ettevõtted) lähtuvad andmetöötluses kehtivatest õigusaktidest ja käesolevatest Privaatsussätetest.
- HeBA osutab Kliendile Teenust üksnes Kliendi nõusolekul. HeBA eeldab, et Klient on teadlikult Teenuse kasutamiseks aja broneerimisega avaldanud nõusolekut Teenuse saamiseks.
- Broneering jõustub ning teenuse osutamise leping HeBA ja Kliendi vahel loetakse sõlmituks broneeringu tegemise hetkest, mis võib toimuda ühel või mitmel alljärgnevaist viisidest:
- HeBA platvormi kaudu, mis on leitav HeBA kodulehel www.HeBA.ee;
- telefoni teel HeBA kodulehel www.HeBA.ee esitatud telefoninumbril ja HeBA lahtiolekuaegadel;
- e-kirja teel HeBA kodulehel www.HeBA.ee esitatud meiliaadressil;
- HeBA vastuvõtulauas HeBA lahtiolekuaegadel.
- HeBA-l on õigus küsida Kliendilt enne teatud Tervishoiuteenuste, eelkõige kõrge tüsistuste riskiga Tervishoiuteenuste osutamist kirjalikus või e-kirja vormis eraldi nõusolekut. Kui Klient muudab sellise Tervishoiuteenuse osutamise käigus meelt ja soovib Tervishoiuteenuse osutamise lõpetamist, lõpetab HeBA talle Tervishoiuteenuse osutamise viisil, mis Kliendi tervist ei ohusta, ning küsib Kliendilt nõusoleku tagasivõtmise kohta kirjalikus või e-kirja vormis kinnitust.
3. Isikuandmete töötlemise alused
- Kui Klient pöördub HeBA poole tervishoiuteenuse saamiseks, siis töötleb HeBA isikuandmeid tervishoiuteenuste korraldamise seaduse §41 lg1 , §41 lg11, §41 lg12, §42 lg3, §56 lg1 p7, §592 ja §593 alusel tervishoiuteenuse lepingu täitmiseks ning lepingu sõlmimisele eelnevate meetmete kasutusele võtmiseks vastavalt Kliendi taotlusele (sealhulgas broneerimisteenuse osutamiseks).
- Töötervishoiuteenuse osutamiseks sõlmitakse juriidilise isikuga (Tööandjaga) leping lähtuvalt töötervishoiu ja tööohutuse seaduse §131 lg1, §131 lg2 ja 19 lg1, milles on muuhulgas sätestatud Isikuandmete töötlemise põhimõtted HeBA seadusest ja lepingust tulenevate kohustuste täitmiseks Tööandja ees, mis võib sisaldada kõiki või osa alljärgnevatest tegevustest:
- viia läbi tervisekontroll Kliendi terviseseisundi hindamiseks ja haiguste diagnoosimiseks ning hinnata töökeskkonna riskitegurite mõju Kliendi tervisele;
- korraldada ja pakkuda Klientidele taastusravi või psühholoogilist nõustamist;
- nõustada Töötajat tervise edendamise küsimustes suuliselt ja kirjalikult ning vajadusel korraldada tervise- ning tervishoiuteenuseid Kliendi terviseriskide ohjamiseks, tervise säilitamiseks ja parandamiseks ning haiguste ennetamiseks;
- nõustada Tööandjat töökeskkonna ja töötingimuste kohandamiseks ja Töötajate ning Klientide tervise edendamiseks, võttes aluseks isikustamata kujul koondatud teabe Kilentide tervise olukorrast ja sellega seotud võimalikest töökeskkonna riskidest;
- teha Tööandjale ettepanekuid töötingimuste parandamiseks ja Töötajate ning Klientide tervise edendamiseks, võttes aluseks seosed Klientide tervise- ja töökeskkonna andmete vahel, sealhulgas hinnates Kliendi füüsilist ja vaimset tervist, tervisekäitumise mustreid;
- analüüsida Tööandja töötervishoiu olukorda tervikuna ning koostada ülevaateid tema töökeskkonna terviseriskide asjaoludest ning isikustamata kujul Klientide tervise olukorrast, et Tööandja saaks planeerida oma töötajaskonnale tervist toetavaid ja riske maandavaid tegevusi;
- korraldada ja pakkuda Tööandja jaoks psühholoogilist nõustamist;
- teostada töökeskkonna riskianalüüse, sealhulgas mõõta ohutegurite parameetreid;
- nõustada Tööandjat töö kohandamisel Töötaja võimetele ja terviseseisundile vastavaks, võttes aluseks seosed Klientide tervise- ja töökeskkonna andmete vahel;
- nõustada Tööandjat töövahendite ja isikukaitsevahendite valikul ja kasutamisel ning töötingimuste parandamisel, võttes muuhulgas aluseks seosed Klientide tervise- ja töökeskkonna andmete vahel.
- Kui Klient pöördub oma Tööandja suunamisel HeBA poole tervishoiuteenuse saamiseks seoses töötervishoiuga või vajaliku tervisetõendi hankimiseks, siis töötleb HeBA isikuandmeid Kliendile tervishoiuteenuse osutamiseks HeBA ja Kliendi Tööandjaga töötervishoiu ja tööohutuse seaduse §-ide 131(2), 131(3) ja 19 alusel sõlmitud lepingu täitmiseks ning tervishoiuteenuste korraldamise seaduse §41 lg1 , §41 lg11, §41 lg12, §42 lg3, §56 lg1 p7, §592 ja §593 alusel ning lepingu sõlmimisele eelnevate meetmete kasutuselevõtmiseks vastavalt Kliendi taotlusele (sealhulgas, kuid mitte üksnes broneerimisteenuse osutamiseks).
- Kui Klient pöördub HeBA poole muude teenuste saamiseks, siis töötleb HeBA isikuandmeid Kliendiga sõlmitud lepingu täitmiseks ning lepingu sõlmimisele eelnevate meetmete kasutuselevõtmiseks vastavalt Kliendi taotlusele (sealhulgas, kuid mitte üksnes broneerimisteenuse osutamiseks).
- HeBA teenuste osutamisel töödeldakse isikuandmeid Kliendi soovitud eesmärgi saavutamiseks alates teenuse osutamise lepingu sõlmimisest, mida arvestatakse hetkest, mil Klient avaldab soovi HeBA teenuse kasutamiseks broneerimise teel.
- Tervishoiuteenuste korraldamise seadusest ja võlaõigusseadusest tulenevalt on HeBA-l õigus ja kohustus töödelda tervishoiuteenuse osutamiseks vajalikke Kliendi andmeid piisava hoolsusega, mille käigus võib olla vajalik, et HeBA tervishoiutöötaja tutvuks Kliendi terviseandmetega Tervise infosüsteemis või mistahes vormis andmekandjal juba enne Kliendi füüsilist või virtuaalset visiiti.
- Muudel juhtudel kui teenuste saamiseks töötleb HeBA isikuandmeid Kliendi eraldi antud nõusoleku alusel.
- Õigustatud huvist lähtudes võib HeBA töödelda HeBA platvormi kasutusandmeid, et mõista selle toimimist Kasutajatele soovitud teenuse kvaliteedi tagamiseks.
4. Töödeldavad isikuandmed ning töötlemise eesmärk
- HeBA töötleb isikuandmeid eesmärgiga toetada Klienti tema terviseotsuste tegemisel ja hea tööelu kvaliteedi saavutamisel (ehk tervise juhtimisel), hallata Kliendi terviseriske mitmekülgse haiguste ennetuse, diagnoosimise ja ravi käigus ning töötervishoiuteenuse osutamisel vähendada ka Tööandja töötajaskonna terviseriske tervikuna.
- Isikuandmete koosseis, mida iga konkreetse HeBA teenuse osutamisega seoses töödeldakse, sõltub konkreetse teenuse sisust ja piirdub rangelt osutatava teenuse jaoks minimaalselt vajaliku isikuandmete koosseisuga. Võimalikud töödeldavad andmed on:
- tuvastamise ja kontaktandmed Kliendile teenuse osutamiseks:
- üldandmed nagu nimi, perekonnanimi, isikukood, sünniaeg;
- isikutuvastuse andmed nagu dokumendi number ja -koopia;
- kontaktandmed nagu telefoninumber, meiliaadress ja elukoha aadress;
- makseandmed teenuse eest arveldamiseks:
- pangakonto number ja makse teostamiseks vajalikud rekvisiidid;
- terviseandmeid teenuse osutamise kavandamiseks ja teenuse osutamiseks (sealhulgas haiguse, vigastuse või mürgistuse ennetamiseks, diagnoosimiseks ja ravimiseks eesmärgiga leevendada inimese vaevusi, hoida ära tema tervise seisundi halvenemist või haiguse ägenemist ning taastada tervist); teenuse dokumenteerimiseks:
- teenuse osutamise käigus kogutud terviseandmed ja tervisekäitumise andmed;
- Tervise infosüsteemist pärinevad andmed;
- Töö ja töökohaga seotud andmed töötervishoiuteenuse osutamise kavandamiseks ja teenuse osutamiseks (sealhulgas haiguse, vigastuse või mürgistuse ennetamiseks, diagnoosimiseks ja ravimiseks, eesmärgiga leevendada inimese vaevusi, hoida ära tema tervise seisundi halvenemist või haiguse ägenemist ning taastada tervist); teenuse dokumenteerimiseks; kohustuslikesse riiklikesse andmebaasidesse ja registritesse edastamiseks; Tööandjale tervisekontrolli otsuste edastamiseks:
- tööga seotud andmed nagu töökoht, amet, üksus, töökoormus, tööstaaž, individuaalsed töökeskkonna otsused;
- Tööelu infosüsteemist pärinevad andmed.
- lähtuvalt õigustatud huvist (sealhulgas platvormi kasutusandmed, et mõista selle toimimist Kasutajatele soovitud teenuse kvaliteedi tagamiseks).
- tuvastamise ja kontaktandmed Kliendile teenuse osutamiseks:
- Kliendiga ühenduse võtmiseks töödeldakse Kliendi kontaktandmeid punktides 3.1 – 3.7 alustel toimuva andmetöötluse käigus täiendava teabe, juhiste ja instruktsioonide edastamiseks.
- Töötervishoiuteenuste osutamisel lähtutakse punktis 3.2. kirjeldatud töötervishoiuteenuse osutamise lepinguga kokkulepitud isikuandmete töötlemise korrast ning vastutusest Tööandja ja HeBA vahel järgmiste üldiste põhimõtete alusel:
- Tööandja edastab HeBA-le oma töötajate (Kliendid) isikuandmed nendega kontakteerumiseks ja töökeskkonna riskide hindamiseks vastavalt kehtivale seadusele, kasutades selleks turvalist isiku tuvastamist võimaldavat HeBA platvormi;
- Terviseandmeid töödeldakse üksnes nende Klientide puhul, kes kasutavad HeBA teenuseid lähtuvalt punktis 3.3 kirjeldatud alustest.
- Kliendi nõusolekul muul otstarbel töödeldakse isikuandmeid, mille on HeBA-le edastanud Klient GDPR-i nõuete kohaselt vormistatud nõusoleku alusel ja otstarbel HeBA platvormi või muu Klienti tuvastava digitaalse keskkonna kaudu või paberkandjal. Sellisel viisil võib HeBA:
- kasutada Kliendi e-posti aadressi või telefoninumbrit üldise tervisealase informatsiooni ja teabe jagamiseks (sealhulgas riskide teavitus või uudiskiri);
- kasutada Kliendi e-posti aadressi või telefoninumbrit ettepaneku tegemiseks HeBA teenuste arendamisel osalemiseks;
- kasutada Kliendi e-posti aadressi või telefoninumbrit ettepaneku tegemiseks teadusuuringutes osalemiseks;
- kasutada Kliendi e-posti aadressi või telefoninumbrit teavitusteks HeBA uutest teenustest ja sooduspakkumistest;
- kasutada Kliendi isikuandmeid muudel õigusaktides lubatud eesmärkidel, milleks Klient on andnud nõusoleku.
- Isikuandmete avaldamine HeBA-le on vabatahtlik, kuid HeBA-l on õigus piirata osade teenuste kasutamist (sealhulgas, kuid mitte ainult broneerimisteenus), juhul kui Klient otsustab andmeid mitte avaldada.
- HeBA veebilehekülgedel (heba.ee) kasutatakse GDPR-is ning teistes õigusaktides sätestatut järgides “küpsiseid” – tekstifaile, mis sisaldavad Kliendi arvutisse talletatavat informatsiooni ning mida kasutatakse Kliendi tuvastamiseks veebilehe külastamisel (edaspidi “küpsis”).
- HeBA veebilehekülgedel kasutatakse Google Analytics veebianalüütika küpsiseid veebilehekülgede kasutusstatistika kohta, mis aitab HeBA-l analüüsida, kuidas külastajad meie veebilehekülgi kasutavad. Seejuures ei edastata veebilehekülje külastajate isikuandmeid Google’ile.
- Google Analytics küpsised registreerivad unikaalse ID ja koguvad statistilisi andmeid selle kohta, kuidas külastaja veebisaiti kasutab. Google Analytics küpsiseid säilitatakse kuni 2 aastat. Täpsema teabe saamiseks Google Analytics küpsiste kohta saab infot veebilehel https://developers.google.com/analytics/devguides/collection/analyticsjs/cookie-usage.
- Samuti on igal HeBA veebilehe külastajal õigus oma veebilehitseja sätteid muutes küpsiste kasutamine igal ajal keelata.
- HeBA võib kasutada andmete automatiseeritud töötlemist, sealhulgas profileerimist ja andmete modelleerimist, et toetada tervishoiu- ja teiste töötajate otsuste kvaliteeti, pakkuda Kliendi eelistustele vastavaid teenuseid, määrata teenuste hindu, tuvastada pettusi ja pettuste ohtu või täita turunduslikke eesmärke, võttes arvesse asjakohaseid isikuandmete töötlemise eesmärke ja aluseid. HeBA ei kasuta autonoomset, automatiseeritud otsustamist isikuandmete põhjal.
5. Isikuandmete edastamine
- HeBA hoiab saladuses teenuse osutamisel teatavaks saanud andmed Kliendi isiku, terviseseisundi ja eraelu kohta. Sellisest saladuse hoidmise kohustusest võib HeBA mõistlikus ulatuses kõrvale kalduda üksnes õigusaktides sätestatud juhtudel.
- HeBA ei väljasta Terviseandmeid kolmandatele isikutele ilma Kliendi nõusolekuta, välja arvatud seadusest tulenevatel juhtudel.
- HeBA võib edastada Kliendi terviseandmeid Kliendile tervishoiuteenuse osutamise eesmärgil teisele tervishoiuasutusele ning laborisse analüüside ja uuringute tegemiseks. HeBA tervishoiutöötajal on õigus ja kohustus Kliendi tervise huvides ning parima võimaliku tervishoiuteenuse osutamise eesmärgil konsulteerida teise tervishoiutöötajaga vastavalt õigusaktides sätestatud juhtudele.
- Tervishoiuteenuse osutamisel edastab HeBA terviseandmed kehtiva õiguse alusel e-tervise patsiendiportaali infosüsteemi, mis asub veebilehel https://id.digilugu.ee/ ja mille vastutav töötleja on Tervise ja Heaolu Infosüsteemide Keskus (registrikood 70009770). Patsiendiportaaliga seotud küsimuste korral võib ühendust võtta Tervise ja Heaolu Infosüsteemide Keskuse kasutajatoega telefonil +372 794 3943 või e-posti aadressil abi@tehik.ee.
- Tervishoiuteenuse osutamisel võib HeBA vastavalt vajadusele edastada ja/või võtta vastu terviseandmeid kehtiva õiguse alusel retseptikeskuse kaudu, mille vastutav töötleja on Tervise ja Heaolu Infosüsteemide Keskus (registrikood 70009770, aadress Uus-Tatari tn 25, 10134 Tallinn), kui see on vajalik tervishoiuteenuse osutamiseks. Retseptikeskusega seotud küsimuste korral võib ühendust võtta Tervise ja Heaolu Infosüsteemide Keskuse kasutajatoega telefonil +372 794 3943 või e-posti aadressil abi@tehik.ee.
- Tervishoiuteenuse osutamisel võib HeBA vastavalt vajadusele edastada ja/või võtta vastu terviseandmeid kehtiva õiguse alusel pildipanga kaudu, mille vastutav töötleja on Sihtasutus Eesti Tervishoiu Pildipank (registrikood 90007945, aadress Puusepa 8, 51014 Tartu Eesti), kui see on vajalik tervishoiuteenuse osutamiseks. Pildipangaga seotud küsimuste korral võib ühendust võtta Tervise ja Heaolu Infosüsteemide Keskuse kasutajatoega telefonil +372 5331 8888 või e-posti aadressi abi@pildipank.ee.
- Tervishoiuteenuse osutamisel seoses mootorsõiduki juhi tervisetõendi väljastamisega võib HeBA kehtiva õiguse alusel edastada isikuandmeid (tervisetõendi) Transpordiameti digitaalsesse keskkonda, mille vastutav töötleja on Transpordiamet (registrikood 70001490, Valge tn 4/1, 11413 Tallinn). Transpordiameti poolt andmete töötlemisega seotud küsimustega palume pöörduda Transpordiameti poole telefonil +372 620 1200 või e-posti aadressil info@transpordiamet.ee.
- Isikuandmed, välja arvatud individuaalsed terviseandmed ja tervisekäitumise andmed, edastatakse Tööandjale punktis 3.2. kirjeldatud töötervishoiuteenuse osutamise lepingu alusel tema Töötajate kohta kehtiva õiguse alusel, sealhulgas tervisekontrolli otsus töötervishoiu ja tööohutuse seaduse alusel.
- Isiku tuvastamist võimaldavaid terviseandmeid kolmandatele isikutele ei edastata, välja arvatud Kliendi kirjalikus vormis taasesitataval kujul antud nõusoleku korral.
- Töötervishoiuteenuse osutaja muutumisel on uuel teenuseosutajal võimalik Klientide andmeid (sealhulgas terviseandmed) kasutada Terviseinfo süsteemi kaudu – neid HeBA isikustatud kujul ei edasta.
- HeBA-l on õigus kasutada Isikuandmete töötlemisel volitatud töötlejaid, kelleks võivad olla tugiteenuste osutajad, näiteks tarkvaraarendajad. Volitatud töötlejad võivad Isikuandmetega kokku puutuda vaid piiratud juhtudel. Kasutame volitatud töötlejatena vaid selliseid partnereid, kes töötlevad Isikuandmeid kooskõlas kehtiva õigusega ja käesolevate Privaatsussätetega.
- HeBA volitatud töötlejad tervishoiuteenuste osutamise käigus on broneerimise teenuse ja patsiendiinfosüsteemi (haiguslugu, tervisekaart, uuringute- ja analüüside tellimused, digiretsept, liidestus Tervise infosüsteemiga) pakkuja Connected OÜ (registreeritud Eestis), Devbreak OÜ (registreeritud Eestis) HeBA platvormi arendajana, Google Inc (registreeritud USAs) e-posti teenuse pakkujana, Dermtest (registreeritud Eestis) ja MinuDoc (registreeritud Eestis) telemeditsiini teenuste pakkujana.
- Lisaks võib HeBA kasutada erinevaid volitatud töötlejad muude teenuste osutamisel Kliendi nõusolekul küsitluste, kliendi tagasiside, turundusteenuste ja veebimajutuse teenuste pakkujana.
6. Isikuandmete säilitamine
- HeBA dokumenteerib ja säilitab teenuste osutamise käigus kogutud isiku- ja terviseandmeid kehtivate õigusaktide nõuete kohaselt kogu töötlemise eesmärgi saavutamise kestel ja nii kaua nagu kehtivad õigusaktid nõuavad.
- Tervishoiuteenuste korraldamise seaduse alusel ja sotsiaalministri määruse „Tervishoiuteenuse osutamise dokumenteerimise ning nende dokumentide säilitamise tingimused ja kord“ alusel säilitab HeBA järgmiseid dokumente, mis sisaldavad Isikuandmeid:
- Kliendi tervisekaarte 30 aasta möödumiseni andmete kinnitamisest;
- Uuringute tellimisel uuringute vastused koos Kliendi tervisekaardiga 30 aastat.
- HeBA tervisekontrolli kaarte ja töötervishoiu teenuse osutamise teostatud terviseuuringute tulemusi 30 aastat tervisekontrolli otsuse tegemisest arvates.
- Raamatupidamisseaduse alusel säilitatakse raamatupidamislikke dokumente 7 aastat.
- Teenuse osutamise lepingu täitmiseks kogutud andmeid, mille pikem säilitamistähtaeg ei tulene kehtivast õigusest, säilitame isikustatud kujul üldreegli kohaselt seni, kuni neid on vaja lepingu täitmisega seoses lepingu kehtivuse jooksul või kuni 3 aasta jooksul pärast lepingu lõppemist.
- Kliendi rahulolu hindamiseks kogutud tagasisidet säilitatakse 5 aastat alates tagasiside saamisest.
7. Isikuandmete kaitse
- Isikuandmeid säilitatakse eriti tundlike andmete töötlemise turbenõuetele vastavas turvalises GDPR-i andmeturbenõuetele vastavas privaatpilves (Amazon Web Services, Frankfurt) krüpteeritud kujul, koos vastavate turvaseadistuste ja monitooringuga.
- Kõikide kasutajate tuvastamine ja autentimine toimub reeglina 2-faktorilise autentimisteenuse (ID-kaart, mobiil-ID, smart-ID), abil kasutades ISO/IEC 27001 standardile vastava teenusepakkuja Dokobit (https://www.dokobit.com/compliance) teenust.
- Klient pääseb oma isiklikele andmetele ligi läbi mitmeastmelise autentimise, Kliendi nõusolekul on tal võimalik ennast platvormil tuvastada ka kiiresti aeguva e-posti autentimislahenduse teel. Kliendi selgelt ja kirjalikku taasesitamist võimaldavas vormis väljendatud soovi korral on võimalik Kliendi andmete edastamine talle krüpteerimata kujul (e-posti teel, paberkandjal).
- Õigustamata juurdepääsu või Isikuandmete avalikustamise vältimiseks on HeBA-s kasutusel tehnilised ja organisatsioonilised kõrge turvaklassi nõuetele vastavad meetmed, mis on kooskõlas Riigi Infosüsteemide Ameti koostatud Infosüsteemide kolmeastmelise etalonturbe süsteemi nõuetega.
- Kõigi HeBA töötajate ja koostööpartnerite lepingutes sisaldub konfidentsiaalsuskohustus.
- Ligipääsuõigused Isikuandmetele on piiratud vastavalt teenuse osutamise vajadusele. Isikuandmete töötlemiseks peavad HeBA töötajad end identifitseerima. Kõik Isikuandmete kasutamise logid säilitatakse.
8. Kliendi õigused seoses Isikuandmetega
- Kliendil on Isikuandmete töötlemisel kõik andmesubjektile kehtivast õigusest tulenevad õigused.
- Kliendil on Isikuandmete töötlemisel muuhulgas järgmised õigused:
- Juurdepääsuõigus: õigus igal ajal küsida, kas HeBA-l on Kliendi kohta Isikuandmeid või mitte ning saada teavet selle kohta, milliseid Isikuandmeid HeBA Kliendi kohta töötleb;
- Õigus Isikuandmete parandamisele: õigus taotleda HeBA-lt oma Isikuandmete täpsustamist või parandamist, kui need on ebapiisavad, puudulikud või valed;
- Õigus vastuväidete esitamisele: õigus esitada HeBA-le vastuväiteid oma Isikuandmete töötlemise suhtes;
- Õigus nõuda Isikuandmete kustutamist: õigus taotleda Isikuandmete kustutamist, näiteks siis, kui Isikuandmeid töödeldakse Kliendi nõusolekul ja kui Klient on nõusoleku tagasi võtnud;
- Õigus piirata töötlemist: õigus nõuda, et HeBA piiraks Kliendi Isikuandmete töötlemist kehtiva õiguse alusel, näiteks kui HeBA ei vaja Kliendi Isikuandmeid enam töötlemise eesmärkidel või kui Klient on esitanud Isikuandmete töötlemise suhtes vastuväite;
- Õigus võtta Isikuandmete töötlemiseks antud nõusolek tagasi: kui Isikuandmete töötlemine põhineb Kliendi antud nõusolekul, on Kliendil igal ajal õigus HeBA-le antud nõusolek tagasi võtta;
- Õigus andmete ülekantavusele: Kliendil on õigus ise saada HeBA-lt Isikuandmeid, mida Klient on ise HeBA-le esitanud ning mida töödeldakse Kliendi nõusoleku alusel või Kliendiga sõlmitud lepingu täitmiseks;
- Õigus esitada kaebus: kui Klient leiab, et tema Isikuandmete töötlemisel on rikutud tema õigusi, on tal õigus pöörduda nõude või kaebusega Andmekaitse Inspektsiooni või kohtu poole.
- Teatud juhtudel võivad teiste andmesubjektide õigused või HeBA juriidilised kohustused piirata andmesubjekti õigusi.
- Olenemata kustutamise nõude õigusliku aluse olemasolust, keeldub HeBA andmete kustutamisest, kui see on vajalik:
- Euroopa Liidu või liikmesriigi õigusest HeBA-le tuleneva kohustuse või avalikes huvides oleva ülesande täitmiseks, eelkõige tervishoiuteenuse osutamisega kaasneva dokumenteerimise ja dokumentide säilitamise kohustuse täitmiseks;
- rahvatervise valdkonnas avaliku huviga seotud põhjustel;
- avalikes huvides toimuva arhiveerimise, teadusuuringute või statistilistel eesmärkidel;
- õigusnõuete koostamiseks, esitamiseks või kaitsmiseks.
- Isikuandmete töötlemisega kaasnevate õiguste teostamiseks või Isikuandmete töötlemisega seotud taotluste esitamiseks palume ühendust võtta punktis 9 toodud kontaktandmetel.
- Isikuandmete töötlemisega seotud küsimuste korral või Isikuandmete töötlemisega seotud taotluste esitamiseks palume ühendust võtta HeBA-ga telefoni, e-posti või posti teel.
9. Kontakt
- HeBA kontaktandmed andmekaitse küsimustes on: Evelyn Aaviksoo
- Ärinimi: HeBA Clinic OÜ
- Aadress: Veerenni 38, 10138 Tallinn
- Andmekaitse spetsialist: Evelyn Aaviksoo
- Telefon: +372 58 87 01 31
- E-post: heba@heba.ee